Sdílet prostřednictvím


Vytvoření sdíleného přístupového podpisu účtu

Důležitý

Pro zajištění optimálního zabezpečení microsoft doporučuje Microsoft Entra ID se spravovanými identitami autorizovat požadavky na data objektů blob, fronty a tabulek, kdykoli je to možné. Autorizace s ID Microsoft Entra a spravovanými identitami poskytuje vynikající zabezpečení a snadné použití prostřednictvím autorizace sdíleného klíče. Další informace najdete v tématu Autorizace pomocíMicrosoft Entra ID . Další informace o spravovaných identitách najdete v tématu Co jsou spravované identity pro prostředky Azure.

Pro prostředky hostované mimo Azure, jako jsou místní aplikace, můžete použít spravované identity prostřednictvím služby Azure Arc. Aplikace spuštěné na serverech s podporou Azure Arc můžou například používat spravované identity pro připojení ke službám Azure. Další informace najdete v tématu Ověřování prostředků Azure pomocí serverů s podporou Azure Arc.

Ve scénářích, ve kterých se používají sdílené přístupové podpisy (SAS), microsoft doporučuje používat SAS delegování uživatele. Sas delegování uživatele je zabezpečený pomocí přihlašovacích údajů Microsoft Entra místo klíče účtu. Informace o sdílených přístupových podpisech najdete v tématu Vytvoření SAS delegování uživatele.

Od verze 2015-04-05 podporuje Azure Storage vytvoření nového typu sdíleného přístupového podpisu (SAS) na úrovni účtu úložiště. Vytvořením sdíleného přístupového podpisu účtu můžete:

  • Delegujte přístup k operacím na úrovni služeb, které nejsou aktuálně dostupné u sdíleného přístupového podpisu specifického pro službu, jako jsou Get/Set Service Properties a operace Get Service Stats.

  • Delegujte přístup k více službám v účtu úložiště najednou. Přístup k prostředkům ve službě Azure Blob Storage a Azure Files můžete například delegovat pomocí sdíleného přístupového podpisu účtu.

  • Delegujte přístup k operacím zápisu a odstranění kontejnerů, front, tabulek a sdílených složek, které nejsou k dispozici s sas specifickými pro objekty.

  • Zadejte IP adresu nebo rozsah IP adres, ze kterých se mají přijímat požadavky.

  • Zadejte protokol HTTP, ze kterého se mají přijímat požadavky (HTTPS nebo HTTP/HTTPS).

Zásady uloženého přístupu se v současné době nepodporují pro sdílený přístupový podpis účtu.

Opatrnost

Sdílené přístupové podpisy jsou klíče, které udělují oprávnění k prostředkům úložiště, a měli byste je chránit stejně jako klíč účtu. Je důležité chránit SAS před škodlivým nebo nezamýšleným použitím. Při distribuci sdíleného přístupového podpisu použijte vlastní uvážení a vytvořte plán pro odvolání ohroženého sdíleného přístupového podpisu. Operace, které používají sdílené přístupové podpisy, by se měly provádět jenom přes připojení HTTPS a identifikátory URI SAS by se měly distribuovat jenom na zabezpečeném připojení, jako je HTTPS.

Autorizace sdíleného přístupového podpisu účtu

Sas účtu zabezpečíte pomocí klíče účtu úložiště. Při vytváření sdíleného přístupového podpisu účtu musí mít klientská aplikace klíč účtu.

Pokud chcete pomocí přihlašovacích údajů Microsoft Entra zabezpečit SAS pro kontejner nebo objekt blob, vytvořit SAS delegování uživatele.

Vytvoření identifikátoru URI SAS účtu

Identifikátor URI URI SAS účtu se skládá z identifikátoru URI prostředku, pro který bude SAS delegovat přístup, následovaný tokenem SAS. Token SAS je řetězec dotazu, který obsahuje všechny informace potřebné k autorizaci požadavku na prostředek. Určuje službu, prostředek a oprávnění, která jsou k dispozici pro přístup, a časové období, během kterého je podpis platný.

Zadání parametrů SAS účtu

Požadované a volitelné parametry tokenu SAS jsou popsány v následující tabulce:

Parametr dotazu SAS Popis
api-version Volitelný. Určuje verzi služby úložiště, která se má použít k provedení požadavku vytvořeného pomocí identifikátoru URI SAS účtu. Další informace najdete v tématu Autorizace požadavků pomocí sdíleného přístupového podpisu.
SignedVersion (sv) Požadovaný. Určuje podepsanou verzi služby úložiště, která se má použít k autorizaci požadavků provedených pomocí sdíleného přístupového podpisu tohoto účtu. Musí být nastavená na verzi 2015-04-05 nebo novější. Další informace najdete v tématu Autorizace požadavků pomocí sdíleného přístupového podpisu.
SignedServices (ss) Požadovaný. Určuje podepsané služby, které jsou přístupné pomocí sdíleného přístupového podpisu účtu. Mezi možné hodnoty patří:

– Objekt blob (b)
- Fronta (q)
- Tabulka (t)
- Soubor (f)

Hodnoty můžete kombinovat a poskytnout tak přístup k více než jedné službě. Například ss=bf určuje přístup ke koncovým bodům Blob Storage a Azure Files.
SignedResourceTypes (srt) Požadovaný. Určuje typy podepsaných prostředků, které jsou přístupné pomocí sdíleného přístupového podpisu účtu.

– Služba (s): Přístup k rozhraním API na úrovni služby (například Get/Set Service Properties, Get Service Stats, List Containers/Queues/Tables/Shares).
– Kontejner (c): Přístup k rozhraním API na úrovni kontejneru (například vytvoření,odstranění kontejneru, vytvoření/odstranění fronty, vytvoření/odstranění tabulky, vytvoření/odstranění sdílené složky, výpis objektů blob/souborů a adresářů).
- Object (o): Přístup k rozhraním API na úrovni objektu pro objekty blob, zprávy fronty, entity tabulek a soubory (například Put Blob, Query Entity, Get Messages, Create File).

Hodnoty můžete kombinovat a poskytnout tak přístup k více typům prostředků. Například srt=sc určuje přístup ke službám a prostředkům kontejneru.
SignedPermissions (sp) Požadovaný. Určuje podepsaná oprávnění pro SAS účtu. Oprávnění jsou platná pouze v případě, že odpovídají zadanému podepsanému typu prostředku. Pokud se neshodují, budou ignorovány.

- Read (r): Platné pro všechny podepsané typy prostředků (Service, Container a Object). Povoluje oprávnění ke čtení zadaného typu prostředku.
- Zápis (w): Platné pro všechny podepsané typy prostředků (Service, Container a Object). Povoluje přístup k zápisu pro zadaný typ prostředku, což uživateli umožňuje vytvářet a aktualizovat prostředky.
- Delete (d): Platné pro typy prostředků kontejneru a objektu s výjimkou zpráv fronty.
- Odstranit verzi (x): Platí pouze pro typ prostředku objektu blob.
- Trvalé odstranění (y): Platné pouze pro typ prostředku objektu blob.
- List (l): Platné pouze pro typy prostředků služby a kontejneru.
- Add (a): Platné pouze pro následující typy prostředků objektu: zprávy fronty, entity tabulky a doplňovací objekty blob.
- Vytvoření (c): Platné pro typy prostředků kontejneru a následující typy prostředků objektu: objekty blob a soubory. Uživatelé mohou vytvářet nové prostředky, ale nemusí přepsat existující prostředky.
- Update (u): Platné pouze pro následující typy prostředků objektu: zprávy fronty a entity tabulky.
- Process (p): Platné pouze pro následující typ prostředku objektu: zprávy fronty.
- Značka (t): Platné pouze pro následující typ prostředku objektu: objekty blob. Povoluje operace značek objektů blob.
- Filter (f): Platné pouze pro následující typ prostředku objektu: objekt blob. Povoluje filtrování podle značky objektu blob.
- Nastavit zásady neměnnosti (i): Platné pouze pro následující typ prostředku objektu: objekt blob. Povoluje nastavení nebo odstranění zásad neměnnosti a blokování z právních důvodů v objektu blob.
SignedStart (st) Volitelný. Čas, kdy se SAS stane platným, vyjádřený v jednom z přijatých formátů ISO 8601 UTC. Pokud je vynechán, předpokládá se, že počáteční čas je čas, kdy služba úložiště obdrží požadavek. Další informace o přijatých formátech UTC naleznete v tématu Formátování hodnot DateTime.
SignedExpiry (se) Požadovaný. Čas, kdy se sdílený přístupový podpis stane neplatným, vyjádřený v jednom z přijatých formátů ISO 8601 UTC. Další informace o přijatých formátech UTC naleznete v tématu Formátování hodnot DateTime.
SignedIP (sip) Volitelný. Určuje IP adresu nebo rozsah IP adres, ze kterých se mají přijímat požadavky. Při zadávání rozsahu mějte na paměti, že rozsah je inkluzivní. Podporují se jenom adresy IPv4.

Například sip=198.51.100.0 nebo sip=198.51.100.10-198.51.100.20.
SignedProtocol (spr) Volitelný. Určuje protokol, který je povolený pro požadavek provedený pomocí sdíleného přístupového podpisu účtu. Možné hodnoty jsou HTTPS i HTTP (https,http) nebo pouze HTTPS (https). Výchozí hodnota je https,http.

Všimněte si, že pouze HTTP není povolená hodnota.
SignedEncryptionScope (ses) Volitelný. Označuje obor šifrování, který se má použít k šifrování obsahu požadavku. Toto pole je podporováno ve verzi 2020-12-06 a novější.
Signature (sig) Požadovaný. Část podpisu identifikátoru URI slouží k autorizaci požadavku vytvořeného se sdíleným přístupovým podpisem.

Řetězec na znaménko je jedinečný řetězec vytvořený z polí, která musí být ověřena k autorizaci požadavku. Podpis je kód ověřování zpráv založený na hodnotě hash (HMAC), který se vypočítá přes řetězec k podpisu a klíč pomocí algoritmu SHA256 a pak kóduje pomocí kódování Base64.

Zadání pole signedVersion

Pole signedVersion (sv) obsahuje verzi služby sdíleného přístupového podpisu. Tato hodnota určuje verzi autorizace sdíleného klíče, kterou používá tento sdílený přístupový podpis (v poli signature). Hodnota také určuje verzi služby pro požadavky, které jsou provedeny s tímto sdíleným přístupovým podpisem.

Informace o tom, která verze se používá při provádění požadavků prostřednictvím sdíleného přístupového podpisu, najdete v tématu Správa verzí pro služby Azure Storage.

Informace o tom, jak tento parametr ovlivňuje autorizaci požadavků provedených pomocí sdíleného přístupového podpisu, najdete v tématu Delegovat přístup se sdíleným přístupovým podpisem.

Název pole Parametr dotazu Popis
signedVersion sv Požadovaný. Podporováno ve verzi 2015-04-05 a novější. Verze služby úložiště, která se má použít k autorizaci a zpracování požadavků, které provedete s tímto sdíleným přístupovým podpisem. Další informace najdete v tématu Správa verzí pro služby Azure Storage.

Zadání IP adresy nebo rozsahu IP adres

Od verze 2015-04-05 určuje volitelné pole signedIp (sip) veřejnou IP adresu nebo rozsah veřejných IP adres, ze kterých se mají žádosti přijímat. Pokud SE IP adresa, ze které požadavek pochází, neshoduje s IP adresou nebo rozsahem adres zadaným v tokenu SAS, není požadavek autorizovaný. Podporují se jenom adresy IPv4.

Při zadávání rozsahu IP adres mějte na paměti, že rozsah je inkluzivní. Například zadání sip=198.51.100.0 nebo sip=198.51.100.10-198.51.100.20 sas omezí požadavek na tyto IP adresy.

Následující tabulka popisuje, jestli zahrnout pole signedIp v tokenu SAS pro zadaný scénář v závislosti na klientském prostředí a umístění účtu úložiště.

Klientské prostředí Umístění účtu úložiště Doporučení
Klient spuštěný v Azure Ve stejné oblasti jako klient Sdílený přístupový podpis poskytnutý klientovi v tomto scénáři by neměl obsahovat odchozí IP adresu pro pole signedIp. Požadavky provedené ze stejné oblasti, které používají SAS se zadanou odchozí IP adresou, selžou.

Místo toho ke správě omezení zabezpečení sítě použijte virtuální síť Azure. Požadavky na Azure Storage ze stejné oblasti se vždy provádí přes privátní IP adresu. Další informace najdete v tématu Konfigurace virtuálních sítí a bran firewall Azure Storage.
Klient spuštěný v Azure V jiné oblasti než klient Sas poskytnutý klientovi v tomto scénáři může obsahovat veřejnou IP adresu nebo rozsah adres pro pole signedIp. Požadavek vytvořený pomocí sdíleného přístupového podpisu musí pocházet ze zadané IP adresy nebo rozsahu adres.
Klient spuštěný místně nebo v jiném cloudovém prostředí V libovolné oblasti Azure Sas poskytnutý klientovi v tomto scénáři může obsahovat veřejnou IP adresu nebo rozsah adres pro pole signedIp. Požadavek vytvořený pomocí sdíleného přístupového podpisu musí pocházet ze zadané IP adresy nebo rozsahu adres.

Pokud požadavek prochází přes proxy server nebo bránu, zadejte veřejnou odchozí IP adresu tohoto proxy serveru nebo brány pro pole signedIp.

Zadání protokolu HTTP

Od verze 2015-04-05 určuje volitelné pole signedProtocol (spr) protokol, který je povolený pro požadavek provedený pomocí SAS. Možné hodnoty jsou HTTPS i HTTP (https,http) nebo pouze HTTPS (https). Výchozí hodnota je https,http. Všimněte si, že pouze http není povolená hodnota.

Určení rozsahu šifrování

Pomocí pole signedEncryptionScope v identifikátoru URI můžete zadat obor šifrování, který může klientská aplikace používat. Při nahrávání objektů blob (PUT) pomocí tokenu SAS vynucuje šifrování na straně serveru se zadaným oborem šifrování. Funkce GET a HEAD nebudou omezena a provedena jako předtím.

Následující tabulka popisuje, jak odkazovat na podepsaný obor šifrování u identifikátoru URI:

Název pole Parametr dotazu Popis
signedEncryptionScope ses Volitelný. Označuje obor šifrování, který se má použít k šifrování obsahu požadavku.

Toto pole je podporováno ve verzi 2020-12-06 nebo novější. Pokud přidáte ses před podporovanou verzi, vrátí služba kód odpovědi na chybu 403 (Zakázáno).

Pokud nastavíte výchozí obor šifrování pro kontejner nebo systém souborů, parametr dotazu ses respektuje zásady šifrování kontejneru. Pokud došlo k neshodě mezi parametrem dotazu ses a hlavičkou x-ms-default-encryption-scope a hlavička x-ms-deny-encryption-scope-override je nastavená na true, vrátí služba kód chybové odpovědi 403 (Zakázáno).

Když zadáte hlavičku x-ms-encryption-scope a parametr dotazu ses v požadavku PUT, vrátí služba kód odpovědi na chybu 400 (Chybný požadavek), pokud dojde k neshodě.

Vytvoření řetězce podpisu

Pokud chcete vytvořit řetězec podpisu pro SAS účtu, nejprve z polí, která tvoří požadavek, vytvořte řetězec k podpisu a potom řetězec zakódujte jako UTF-8 a vypočítáte podpis pomocí algoritmu HMAC-SHA256.

Poznámka

Pole zahrnutá v řetězci na znaménko musí být dekódovaná adresou URL.

K vytvoření znaménka řetězce pro SAS účtu použijte následující formát:

StringToSign = accountname + "\n" +  
    signedpermissions + "\n" +  
    signedservice + "\n" +  
    signedresourcetype + "\n" +  
    signedstart + "\n" +  
    signedexpiry + "\n" +  
    signedIP + "\n" +  
    signedProtocol + "\n" +  
    signedversion + "\n"  
  

Verze 2020-12-06 přidává podporu pro pole s podepsaným oborem šifrování. K vytvoření znaménka řetězce pro SAS účtu použijte následující formát:

StringToSign = accountname + "\n" +  
    signedpermissions + "\n" +  
    signedservice + "\n" +  
    signedresourcetype + "\n" +  
    signedstart + "\n" +  
    signedexpiry + "\n" +  
    signedIP + "\n" +  
    signedProtocol + "\n" +  
    signedversion + "\n" +
    signedEncryptionScope + "\n"  
  

Oprávnění SAS účtu podle operace

Tabulky v následujících částech obsahují různá rozhraní API pro každou službu a podepsané typy prostředků a podepsaná oprávnění podporovaná pro každou operaci.

Blob Service

Následující tabulka uvádí operace služby Blob Service a označuje, který podepsaný typ prostředku a podepsaná oprávnění k určení při delegování přístupu k těmto operacím.

Operace Podepsaná služba Podepsaný typ prostředku Podepsané oprávnění
Výpis kontejnerů Objekt blob (b) Služby (s) Seznam (l)
Získání vlastností služby Blob Service Objekt blob (b) Služby (s) Čtení (r)
Nastavení vlastností služby Blob Service Objekt blob (b) Služby (s) Zápis (w)
Získání statistik služby Blob Service Objekt blob (b) Služby (s) Čtení (r)
Vytvoření kontejneru Objekt blob (b) Kontejner (c) Create(c) nebo Write (w)
Získání vlastností kontejneru Objekt blob (b) Kontejner (c) Čtení (r)
Získání metadat kontejneru Objekt blob (b) Kontejner (c) Čtení (r)
Nastavení metadat kontejneru Objekt blob (b) Kontejner (c) Zápis (w)
Zapůjčení kontejneru Objekt blob (b) Kontejner (c) Zápis (w) nebo odstranění (d)1
Odstranění kontejneru Objekt blob (b) Kontejner (c) Odstranění (d)1
Vyhledání objektů blob podle značek v kontejneru Objekt blob (b) Kontejner (c) Filtr (f)
Výpis objektů blob Objekt blob (b) Kontejner (c) Seznam (l)
Vložení objektu blob (vytvoření nového objektu blob bloku) Objekt blob (b) Objekt (o) Vytvoření (c) nebo zápis (w)
Vložení objektu blob (přepsání existujícího objektu blob bloku) Objekt blob (b) Objekt (o) Zápis (w)
Vložení objektu blob (vytvoření nového objektu blob stránky) Objekt blob (b) Objekt (o) Vytvoření (c) nebo zápis (w)
Vložení objektu blob (přepsání existujícího objektu blob stránky) Objekt blob (b) Objekt (o) Zápis (w)
Získání objektu blob Objekt blob (b) Objekt (o) Čtení (r)
Získání vlastností objektu blob Objekt blob (b) Objekt (o) Čtení (r)
Nastavení vlastností objektu blob Objekt blob (b) Objekt (o) Zápis (w)
Získání metadat objektů blob Objekt blob (b) Objekt (o) Čtení (r)
Nastavení metadat objektů blob Objekt blob (b) Objekt (o) Zápis (w)
Získání značek objektů blob Objekt blob (b) Objekt (o) Značky (t)
Nastavení značek objektů blob Objekt blob (b) Objekt (o) Značky (t)
Vyhledání objektů blob podle značek Objekt blob (b) Objekt (o) Filtr (f)
Odstranění objektu blob Objekt blob (b) Objekt (o) Odstranění (d)1
Odstranění verze objektu blob Objekt blob (b) Objekt (o) Odstranění verze (x)2
Trvalé odstranění snímku nebo verze Objekt blob (b) Objekt (o) Trvalé odstranění (y)3
Zapůjčení objektu blob Objekt blob (b) Objekt (o) Zápis (w) nebo odstranění (d)1
Objekt blob snímku Objekt blob (b) Objekt (o) Vytvoření (c) nebo zápis (w)
Kopírování objektu blob (cíl je nový objekt blob) Objekt blob (b) Objekt (o) Vytvoření (c) nebo zápis (w)
Kopírování objektu blob (cíl je existující objekt blob) Objekt blob (b) Objekt (o) Zápis (w)
Přírůstkové kopírování Objekt blob (b) Objekt (o) Vytvoření (c) nebo zápis (w)
Přerušení kopírování objektu blob Objekt blob (b) Objekt (o) Zápis (w)
Vložit blok Objekt blob (b) Objekt (o) Zápis (w)
Vložení seznamu bloků (vytvoření nového objektu blob) Objekt blob (b) Objekt (o) Zápis (w)
Put Block List (aktualizace existujícího objektu blob) Objekt blob (b) Objekt (o) Zápis (w)
Získání seznamu blokovaných položek Objekt blob (b) Objekt (o) Čtení (r)
Vložit stránku Objekt blob (b) Objekt (o) Zápis (w)
Získání rozsahů stránek Objekt blob (b) Objekt (o) Čtení (r)
Připojit blok Objekt blob (b) Objekt (o) Přidání (a) nebo zápis (w)
Vymazat stránku Objekt blob (b) Objekt (o) Zápis (w)

1 Oprávnění Delete umožňuje přerušení zapůjčení objektu blob nebo kontejneru s verzí 2017-07-29 a novější.
2 Oprávnění Delete Version umožňuje odstranění verzí objektů blob ve verzi 2019–12.12 a novější.
3 Oprávnění Permanent Delete umožňuje trvalé odstranění snímku objektu blob nebo verze s verzí 2020-02-10 a novější.

Frontová služba

Následující tabulka uvádí operace služby Queue Service a označuje, který podepsaný typ prostředku a podepsaná oprávnění k určení, když delegujete přístup k těmto operacím.

Operace Podepsaná služba Podepsaný typ prostředku Podepsané oprávnění
Získání vlastností služby fronty Fronta (q) Služby (s) Čtení (r)
Nastavení vlastností služby fronty Fronta (q) Služby (s) Zápis (w)
Výpis front Fronta (q) Služby (s) Seznam (l)
Získání statistik služby Queue Service Fronta (q) Služby (s) Čtení (r)
Vytvoření fronty Fronta (q) Kontejner (c) Create(c) nebo Write (w)
Odstranit frontu Fronta (q) Kontejner (c) Odstranit (d)
Získání metadat fronty Fronta (q) Kontejner (c) Čtení (r)
Nastavení metadat fronty Fronta (q) Kontejner (c) Zápis (w)
Vložit zprávu Fronta (q) Objekt (o) Přidat (a)
Získání zpráv Fronta (q) Objekt (o) Proces (p)
Náhled zpráv Fronta (q) Objekt (o) Čtení (r)
Odstranit zprávu Fronta (q) Objekt (o) Proces (p)
Vymazat zprávy Fronta (q) Objekt (o) Odstranit (d)
Aktualizovat zprávu Fronta (q) Objekt (o) Aktualizace (u)

Table Service

Následující tabulka uvádí operace služby Table Service a označuje, který podepsaný typ prostředku a podepsaná oprávnění k určení, když delegujete přístup k těmto operacím.

Operace Podepsaná služba Podepsaný typ prostředku Podepsané oprávnění
Získání vlastností služby Table Service Tabulka (t) Služby (s) Čtení (r)
Nastavení vlastností služby Table Service Tabulka (t) Služby (s) Zápis (w)
Získání statistik služby Table Service Tabulka (t) Služby (s) Čtení (r)
Tabulky dotazů Tabulka (t) Kontejner (c) Seznam (l)
Vytvoření tabulky Tabulka (t) Kontejner (c) Vytvoření (c) nebo zápis (w)
Odstranit tabulku Tabulka (t) Kontejner (c) Odstranit (d)
Dotazování entit Tabulka (t) Objekt (o) Čtení (r)
Vložit entitu Tabulka (t) Objekt (o) Přidat (a)
Vložit nebo sloučit entitu Tabulka (t) Objekt (o) Přidání (a) a aktualizace (u)1
Vložení nebo nahrazení entity Tabulka (t) Objekt (o) Přidání (a) a aktualizace (u)1
Aktualizace entity Tabulka (t) Objekt (o) Aktualizace (u)
Sloučení entity Tabulka (t) Objekt (o) Aktualizace (u)
Odstranit entitu Tabulka (t) Objekt (o) Odstranit (d)

1 Pro operace upsertu ve službě Table Service jsou vyžadována oprávnění k přidání a aktualizaci.

Souborová služba

Následující tabulka uvádí operace souborové služby a označuje, který podepsaný typ prostředku a podepsaná oprávnění k určení při delegování přístupu k těmto operacím.

Operace Podepsaná služba Podepsaný typ prostředku Podepsané oprávnění
Výpis sdílených složek Soubor (f) Služby (s) Seznam (l)
Získání vlastností souborové služby Soubor (f) Služby (s) Čtení (r)
Nastavení vlastností souborové služby Soubor (f) Služby (s) Zápis (w)
Získání statistik služby Share Soubor (f) Kontejner (c) Čtení (r)
Vytvořit sdílenou složku Soubor (f) Kontejner (c) Vytvoření (c) nebo zápis (w)
Sdílená složka snímků Soubor (f) Kontejner (c) Vytvoření (c) nebo zápis (w)
Získání vlastností sdílené složky Soubor (f) Kontejner (c) Čtení (r)
Nastavení vlastností sdílené složky Soubor (f) Kontejner (c) Zápis (w)
Získání metadat sdílené složky Soubor (f) Kontejner (c) Čtení (r)
Nastavení metadat sdílené složky Soubor (f) Kontejner (c) Zápis (w)
Odstranit sdílenou složku Soubor (f) Kontejner (c) Odstranit (d)
Výpis adresářů a souborů Soubor (f) Kontejner (c) Seznam (l)
Vytvořit adresář Soubor (f) Objekt (o) Vytvoření (c) nebo zápis (w)
Získání vlastností adresáře Soubor (f) Objekt (o) Čtení (r)
Získání metadat adresáře Soubor (f) Objekt (o) Čtení (r)
Nastavení metadat adresáře Soubor (f) Objekt (o) Zápis (w)
Odstranit adresář Soubor (f) Objekt (o) Odstranit (d)
Vytvořit soubor (vytvořit nový) Soubor (f) Objekt (o) Vytvoření (c) nebo zápis (w)
Vytvoření souboru (přepsání existujícího) Soubor (f) Objekt (o) Zápis (w)
Získat soubor Soubor (f) Objekt (o) Čtení (r)
Získání vlastností souboru Soubor (f) Objekt (o) Čtení (r)
Získání metadat souborů Soubor (f) Objekt (o) Čtení (r)
Nastavení metadat souborů Soubor (f) Objekt (o) Zápis (w)
Odstranit soubor Soubor (f) Objekt (o) Odstranit (d)
Přejmenovat soubor Soubor (f) Objekt (o) Odstranění (d) nebo zápis (w)
Put Range Soubor (f) Objekt (o) Zápis (w)
Rozsahy seznamů Soubor (f) Objekt (o) Čtení (r)
Přerušit kopírování souboru Soubor (f) Objekt (o) Zápis (w)
Kopírovat soubor Soubor (f) Objekt (o) Zápis (w)
Vymazat oblast Soubor (f) Objekt (o) Zápis (w)

Příklad identifikátoru URI SAS účtu

Následující příklad ukazuje identifikátor URI služby Blob Service s připojeným tokenem SAS účtu. Token SAS účtu poskytuje oprávnění ke službě, kontejneru a objektům. Tabulka rozdělí jednotlivé části identifikátoru URI:

https://blobsamples.blob.core.windows.net/?sv=2022-11-02&ss=b&srt=sco&sp=rwlc&se=2023-05-24T09:51:36Z&st=2023-05-24T01:51:36Z&spr=https&sig=<signature>
Jméno Část SAS Popis
Identifikátor URI prostředku https://myaccount.blob.core.windows.net/?restype=service&comp=properties Koncový bod služby s parametry pro získání vlastností služby (při zavolání pomocí GET) nebo nastavení vlastností služby (při zavolání pomocí set). Na základě hodnoty pole podepsaných služeb (ss) je možné tento SAS použít se službou Blob Storage nebo službou Azure Files.
Oddělovač ? Oddělovač, který předchází řetězci dotazu. Oddělovač není součástí tokenu SAS.
Verze služeb úložiště sv=2022-11-02 U služeb Azure Storage verze 2012-02-12 a novějších určuje tento parametr, kterou verzi použít.
Služby ss=b Sas se vztahuje na služby Blob Services.
Typy prostředků srt=sco Sas se vztahuje na operace na úrovni služeb, na úrovni kontejneru a na úrovni objektů.
Dovolení sp=rwlc Oprávnění uděluje přístup k operacím čtení, zápisu, výpisu a vytváření.
Čas zahájení st=2019-08-01T22%3A18%3A26Z Zadané v čase UTC. Pokud chcete, aby byl SAS platný okamžitě, vynechejte čas zahájení.
Doba vypršení platnosti se=2019-08-10T02%3A23%3A26Z Zadané v čase UTC.
Protokol spr=https Jsou povoleny pouze požadavky, které používají PROTOKOL HTTPS.
Podpis sig=<signature> Slouží k autorizaci přístupu k objektu blob. Podpis je HMAC vypočítaný přes řetězec-znaménko a klíč pomocí algoritmu SHA256 a pak kódovaný pomocí kódování Base64.

Vzhledem k tomu, že oprávnění jsou omezená na úroveň služby, přístupné operace s tímto SAS jsou získání vlastností služby Blob Service (čtení) a nastavení vlastností služby Blob Service (zápis). S jiným identifikátorem URI prostředků se ale stejný token SAS dá použít také k delegování přístupu k získání statistik služby Blob Service (čtení).

Viz také